6
Fehlende Sicherheitsgruppen bei Domaincomputer
Hallo,
habe jetzt schon lange im Internet die Finger wund gesucht aber ich finde einfach keine Lösung.
Ich habe eine Domaincomputer welcher sich nicht in der Lage sieht die Gruppenrichtlinie zu übernehmen. (EventID 1053 / userenv). Es liegt aber definitiv am Rechner selber. Ist der Benutzer erst einmal angemeldet ist alles gut - nur hilft mir das für die Softwareverteilung herzlich wenig.
Kommen wir zum Ausführlichen,
Bei jedem Neustart protokolliert der Rechner einen Userenv 1053 Fehler in seinem Eventlog (Domaincontroler konnte nicht gefunden werden). Die Übernahme der Computerrichtlinien (und damit der Softwareinstallation wird abgebrochen).
Ist nun ein User angemeldet kann ich problemlos mit gpupdate /force das neuladen anstoßen. Er will dann neustarten und ich bin so schlau wie vorher.
Wenn ich mir das ganze mit rsop.msc ansehe werde ich auch nicht schlauer. Alle "normalen" Richtlinien sind übernommen und angewendet worden. Für die Softwareinstallation ist ein Neustart nötig.
Was mir aufgefallen ist, wenn ich mir die Ergebnisse ansehe (gpresult) so fehlen meiner Meinung nach dem Computer einige Sicherheitsgruppen:
Vergleicht man nämlich diesen Auszug mit Clienten bei denen alles klappt so fehlen die Computersicherheitsgruppen:
Die Frage ist nun, ist das eine Auswirkung des Problems oder die Ursache, wenn es die Ursache ist wie behebe ich sie?
(habe den PC bereits 5x aus der Domain rausgenommen und mal mit mal ohne Assistenten mal mit mal ohne Löschen des Computerkontos wieder hinzugefügt - das Ergebnis bleibt gleich)
Wenn man hiervon mal absieht habe ich den Rechner voll unter Kontrolle - Remoteverwaltung, Admin-Freigaben, Remote-Registry alles kein Problem.
Vielleicht hat ja auch noch sonst irgendwer eine Idee wie ich den Rechner dazu bringen kann die Gruppenrichtlinie endlich mal anzuwenden.
Achja, noch ein paar Worte zum Netzwerk.
Server: SBS 2003 mit AD
Client: WinXP prof SP3 alle Sicherheitspatche angewendet
Alle anderen Clienten haben kein Problem und installieren fröhlich die Software die ich ihnen zuweise.
Hoffe mir kann noch geholfen werden und noch schöne Pfingsten.
Timo
Bei jedem Neustart protokolliert der Rechner einen Userenv 1053 Fehler in seinem Eventlog (Domaincontroler konnte nicht gefunden werden). Die Übernahme der Computerrichtlinien (und damit der Softwareinstallation wird abgebrochen).
Ist nun ein User angemeldet kann ich problemlos mit gpupdate /force das neuladen anstoßen. Er will dann neustarten und ich bin so schlau wie vorher.
Wenn ich mir das ganze mit rsop.msc ansehe werde ich auch nicht schlauer. Alle "normalen" Richtlinien sind übernommen und angewendet worden. Für die Softwareinstallation ist ein Neustart nötig.
Was mir aufgefallen ist, wenn ich mir die Ergebnisse ansehe (gpresult) so fehlen meiner Meinung nach dem Computer einige Sicherheitsgruppen:
Betriebssystem Microsoft (R) Windows (R) XP Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Am 23.05.2010 um 17:00:15 erstellt
RSOP-Ergebnisse für XXX\administrator auf RWB-015 : Protokollierungsmodus
------------------------------------------------------------------------------
Betriebssystemtyp: Microsoft Windows XP Professional
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 5.1.2600
Domänenname: XXX
Domänentyp: Windows 2000
Standortname: Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:
Lokales Profil: C:\Dokumente und Einstellungen\administrator
Langsame Verbindung? Nein
COMPUTEREINSTELLUNGEN
----------------------
CN=RWB-015,OU=32-Bit Systeme,OU=Windows XP,OU=SBSComputers,OU=Computers,OU=MyBusiness,DC=xxx
Zeit der letzten Gruppenrichtlinienanwendung: 23.05.2010 at 16:15:38
Gruppenrichtlinie wurde angewendet von: SRV-001.xxx.xx
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Small Business Server - Domänenkennwortrichtlinie
Small Business Server - Remoteunterstützungsrichtlinie
RWB - Clientcomputer
Small Business Server - Internetverbindungsfirewall
Small Business Server - Überwachungsrichtlinie
Small Business Server - Kontosperrungsrichtlinie
RWB - Windows-Firewall
RWB - Automatische Updates konfigurieren
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
----------------------------------------------------------------------------------------
Small Business Server - Windows Vista-Richtlinie
Filterung: Verweigert (WMI-Filter)
WMI-Filter: Vista
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Administratoren
Jeder
Authentifizierte Benutzer
BENUTZEREINSTELLUNGEN
----------------------
CN=Administrator,CN=Users,DC=xxx,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 23.05.2010 at 16:33:31
Gruppenrichtlinie wurde angewendet von: SRV-001.xxx.xx
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
----------------------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Domänen-Admins
Jeder
Remoteunterstützungsanbieter
Administratoren
Benutzer
INTERAKTIVE REMOTEANMELDUNG
INTERAKTIV
Authentifizierte Benutzer
LOKAL
Richtlinien-Ersteller-Besitzer
SBS Report Users
Schema-Admins
Organisations-Admins
TelnetClients
Vergleicht man nämlich diesen Auszug mit Clienten bei denen alles klappt so fehlen die Computersicherheitsgruppen:
Benutzer
NETZWERK
RWB-015$
DomänencomputerDie Frage ist nun, ist das eine Auswirkung des Problems oder die Ursache, wenn es die Ursache ist wie behebe ich sie?
(habe den PC bereits 5x aus der Domain rausgenommen und mal mit mal ohne Assistenten mal mit mal ohne Löschen des Computerkontos wieder hinzugefügt - das Ergebnis bleibt gleich)
Wenn man hiervon mal absieht habe ich den Rechner voll unter Kontrolle - Remoteverwaltung, Admin-Freigaben, Remote-Registry alles kein Problem.
Vielleicht hat ja auch noch sonst irgendwer eine Idee wie ich den Rechner dazu bringen kann die Gruppenrichtlinie endlich mal anzuwenden.
Achja, noch ein paar Worte zum Netzwerk.
Server: SBS 2003 mit AD
Client: WinXP prof SP3 alle Sicherheitspatche angewendet
Alle anderen Clienten haben kein Problem und installieren fröhlich die Software die ich ihnen zuweise.
Hoffe mir kann noch geholfen werden und noch schöne Pfingsten.
Timo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 143407
Url: https://administrator.de/contentid/143407
Printed on: April 25, 2024 at 13:04 o'clock
6 Comments
Latest comment
Hallo,
Wie sieht gpresult den auf den Computern aus auf denen es funktioniert?
Kannst ja mal vergleichen und zur Not von Hand die Gruppen ändern und schaun ob es dann geht.
Wie sieht gpresult den auf den Computern aus auf denen es funktioniert?
Kannst ja mal vergleichen und zur Not von Hand die Gruppen ändern und schaun ob es dann geht.
Hi,
Danke für die schnelle Antwort. Gerade ist leider keiner der Rechner mehr an. Aber da sind halt die 4 genannten Gruppen mehr drinne.
Wenn ich wüsste wie ich die Computergruppen von Hand ändere wäre mir bestimmt schon geholfen.
Habe gestern einmal mal dem Computerobjekt im AD ein paar weitere Gruppen gegeben - das hat natürlich auch nix geändert....
Gruß
Danke für die schnelle Antwort. Gerade ist leider keiner der Rechner mehr an. Aber da sind halt die 4 genannten Gruppen mehr drinne.
Wenn ich wüsste wie ich die Computergruppen von Hand ändere wäre mir bestimmt schon geholfen.
Habe gestern einmal mal dem Computerobjekt im AD ein paar weitere Gruppen gegeben - das hat natürlich auch nix geändert....
Gruß
Moin.
Wenn der PC nicht in der Gruppe Domänencomputer ist, dann entferne ihn von der Domäne und füge ihn erneut hinzu.
Wenn der PC nicht in der Gruppe Domänencomputer ist, dann entferne ihn von der Domäne und füge ihn erneut hinzu.
Morgen,
ja, das habe ich mir auch gedacht und eben dieses auch schon mindestens 5x gemacht.
Mal habe ich den Rechner nur entfernt, mal das Konto gelöscht, ihn mal über den Assistenten (ConnectComputer) mal direkt wieder in die Domäne gehoben. Das Ergebnis bleib das oben beschriebene.
Könnte mal versuchen ihm einen neuen Namen zu geben... Naja, nun wird er erstmal zum arbeiten benötigt.
Gruß
Timo
ja, das habe ich mir auch gedacht und eben dieses auch schon mindestens 5x gemacht.
Mal habe ich den Rechner nur entfernt, mal das Konto gelöscht, ihn mal über den Assistenten (ConnectComputer) mal direkt wieder in die Domäne gehoben. Das Ergebnis bleib das oben beschriebene.
Könnte mal versuchen ihm einen neuen Namen zu geben... Naja, nun wird er erstmal zum arbeiten benötigt.
Gruß
Timo
So, kurzes Update:
- das umbenennen hat auch nix gebracht - schade aber auch
- mittlerweile habe ich noch 2 Rechner die auf einmal meinen sich nicht mehr in den domainspezifischen Gruppen befinden zu müssen. (selbes Problem wie oben beschrieben - sind allerdings XP 64 Rechner)
Ich habe da gerade noch eine verwegene Idee.
Durch das ganze Testen habe ich gerde meine CAL's überschritten (Habe ein paar Testrechner / Testuser aufgestzt) - kann es sein, das der SBS hier nun irgendwelche "Bescheidungen" vornimmt?
Wenn ja, wie lange dauert es, bis der Zähler wieder resettet wird - oder geht die wirkliche Rechtevergabe in Echtzeit und nur der Zähler braucht länger?
Wenn ich das richtig verstanden habe bin ich beim SBS ja selber für die Dokumentation zuständig. Aber woher weiß der Server denn nun ob ich für den Rechner / User eine User oder eine Device-Cal eingeplant habe? (Ich arbeite im gemischten modus). Oder andersgefragt, wann wird der Zähler erhöht?
Gruß
Timo
- das umbenennen hat auch nix gebracht - schade aber auch
- mittlerweile habe ich noch 2 Rechner die auf einmal meinen sich nicht mehr in den domainspezifischen Gruppen befinden zu müssen. (selbes Problem wie oben beschrieben - sind allerdings XP 64 Rechner)
Ich habe da gerade noch eine verwegene Idee.
Durch das ganze Testen habe ich gerde meine CAL's überschritten (Habe ein paar Testrechner / Testuser aufgestzt) - kann es sein, das der SBS hier nun irgendwelche "Bescheidungen" vornimmt?
Wenn ja, wie lange dauert es, bis der Zähler wieder resettet wird - oder geht die wirkliche Rechtevergabe in Echtzeit und nur der Zähler braucht länger?
Wenn ich das richtig verstanden habe bin ich beim SBS ja selber für die Dokumentation zuständig. Aber woher weiß der Server denn nun ob ich für den Rechner / User eine User oder eine Device-Cal eingeplant habe? (Ich arbeite im gemischten modus). Oder andersgefragt, wann wird der Zähler erhöht?
Gruß
Timo
Hallo zusammen,
habe durch einen dummen Zufall herausgefunden woran es liegt und möchte anderen daqs nun natürlich nicht vorenthalten.
Dieser Fehler passiert, wenn Windows zur Anmeldung keine gültige IP-Adresse hat.
Bei mir lag es daran, dass an dem Switch-Port das Portfast nicht aktiv war.
Interessant dabei ist, dass es auch passiert, wenn ich die Gruppenrichtlinien so setzte, dass er immer auf das Netzwerk warten soll.
Gruß
Timo
habe durch einen dummen Zufall herausgefunden woran es liegt und möchte anderen daqs nun natürlich nicht vorenthalten.
Dieser Fehler passiert, wenn Windows zur Anmeldung keine gültige IP-Adresse hat.
Bei mir lag es daran, dass an dem Switch-Port das Portfast nicht aktiv war.
Interessant dabei ist, dass es auch passiert, wenn ich die Gruppenrichtlinien so setzte, dass er immer auf das Netzwerk warten soll.
Gruß
Timo
